Mandiant网络威胁情报分析师核心能力框架-51CTO.COM

Mandiant是一家专门从事网络安全领域的公司，总部位于美国。该公司成立于2004年，主要提供网络安全咨询、威胁情报、事件响应和网络安全产品等服务。Mandiant以其在网络安全领域的专业知识和技术实力而闻名，曾参与调查和解决多起重大网络安全事件，包括对网络攻击的调查、数字取证和威胁情报分析等。Mandiant公司大家可能不熟悉，但提起Fireye，大家一定知道，当初很多黑客一旦遇到Fireye的防御系统，基本放弃。FireEye和Mandiant之间存在着密切的关系，可以说是关联密切的两家公司。简单来说，Mandiant是FireEye的一部分，但也有一些复杂的历史和业务关系。FireEye在2013年收购了Mandiant。在此之后，Mandiant成为FireEye的子公司，继续保持其在网络安全咨询、威胁情报和事件响应等领域的独立运作。FireEye将Mandiant的专业知识和技术整合到自己的产品和服务中，进一步提升了其在网络安全领域的实力和竞争力。然而，2020年底，FireEye宣布计划将Mandiant分拆出来，使其成为一家独立的上市公司。这意味着Mandiant将再次成为一个独立的实体，不再是FireEye的子公司。

Mandiant公司有很多好东西，感兴趣的朋友可以访问其开源站点

https://github.com/mandiant/red_team_tool_countermeasures

2012 年的卡内基梅隆大学、2015 年的情报与国家安全联盟（INSA）都试图提出有关网络威胁情报（CTI）分析人员的能力框架。以此规范网络威胁情报分析人员所需要掌握的基础知识、基本技能与个人能力（KSA）。2022年5月23号Mandiant发布了一个全面的网络威胁情报（CTI）分析师核心能力框架，该框架可以理解为在CTI学科基础上进一步确定和细化了CTI分析师成长的基本知识、素质和能力（KSA），原文里写了非常详细和具体的指标性内容让读者去参考，感兴趣的可以直接查看原文，今天我想通过自己的理解来解读一下。

该框架将个人能力分为4方面，解决问题、专业成效、技术素养和熟悉网络威胁。

Mandiant 认为网络威胁情报分析人员的个人能力有四个方面：

研究解决问题
保持专业高效
技术基础牢固
熟悉网络威胁

1.网络威胁情报分析师核心能力框架

1.1研究解决问题

1.1.1批判性思维

批判性思维是一种认知过程，使分析员能够客观评估信息，生成有坚实依据的判断，并制定富有洞察力的建议。在网络安全背景下，这项能力尤为重要，分析员需在此过程中驾驭复杂的威胁环境，评价情报来源的可靠性，并确保其工作与组织的使命、愿景和目标相吻合。

具体而言，具备批判性思维的网络威胁情报分析员应具备以下能力：

运用情报生命周期：遵循情报收集、分析、传递、反馈等各阶段的标准流程，确保情报工作的系统性和完整性。
识别一、二、三阶效应：理解某一事件或决策可能带来的直接、间接及长远影响，进行多层级、全方位的考量。
评估情报源信誉：根据情报源的可靠性、信息获取层级及情报获取渠道的特性，判断情报的真实性和可信度。
运用归纳与演绎推理：在处理数据集和供应商报告时，能运用从特殊到一般（归纳推理）和从一般到特殊（演绎推理）的方法，以逻辑严密的方式解读数据。
应用结构化分析技术（SATs）和同行评审：借助结构化分析方法（如矩阵分析、假设树、情境分析等）降低固有的认知偏见，同时通过同行间的审查和讨论进一步确保分析的客观性和准确性。
构建与评估竞争性假设：能提出多种可能的解释或预测，并基于证据进行比较、验证，确保结论的全面性和稳健性。

批判性思维还包括创新思维和趋势预测能力，要求分析员具备跳出常规、构思新颖解决方案和分析框架的能力，这对于研究、数据收集及有效沟通至关重要。

1.1.2研究与分析

研究与分析能力体现在分析员能否根据利益相关者的需求，制定情报要求，并在收集管理框架内对数据集和工具进行优先级排序。研究工作运用逻辑与严谨的推理，从技术与非技术数据源中发掘新线索、建立新联系，最终得出明确的分析结论。网络威胁情报研究涵盖广泛的领域，如提取入侵指标、识别具有相似特征的文件、追踪网络威胁团伙使用的恶意基础设施等。分析工作则涉及对研究结果的解读与整合。

在研究与分析过程中，分析员应：

理解各类入侵指标（IOCs）的用途及局限性：包括原子指标（如IP地址、URL）、计算指标（如哈希值、正则表达式）以及行为指标（如异常网络行为模式）。
确定如何丰富现有数据集：识别所需数据类型、获取途径及整合方法。
具备恶意软件分析、网络流量检测和日志事件数据分类能力：能深入剖析恶意代码、监控网络通信状况、高效处理日志信息。

为充实现有情报收集并深化对网络威胁团伙的认识，分析员应具备以下研究技能：

挖掘、解释、提取并存储来自内部、商业和开源数据集的相关内容，这些数据集包括：

被动DNS（pDNS）记录：如PassiveTotal/RiskIQ、Domain Tools提供的数据。
Netflow数据：如Team Cymru Augury提供的互联网流量数据。
互联网扫描数据：如Shodan、Censys.io提供的公开服务扫描结果。
恶意软件库：如VirusTotal、HybridAnalysis、any.run中的样本。
网络流量：如通过Packet Captures（PCAP）捕获的数据。
沙盒提交：对可疑文件或行为的隔离测试结果。
基于主机的系统事件日志：记录系统运行状况及异常事件。

分析技能则包括查询数据集、构建逻辑数据模型与标签系统、对非结构化数据进行规范化处理、解读数据以揭示随时间变化的趋势和模式。研究与分析技能还要求分析员能检查各种技术工件，无论是基于主机（如脚本和编译的恶意软件）还是基于网络（如基础设施关系和域名结构）。熟悉Python等脚本语言、SQL查询、Jupyter或Zeppelin等数据分析环境、Tableau或PowerBI等可视化工具，以及快速处理数据集的其他工具，都将极大助力研究与分析工作。此外，强大的统计推理能力也是必不可少的，包括对假设检验、统计显著性、条件概率、抽样和偏差等概念的理解。

研究与分析能力还受益于语言能力、文化背景和地域知识的丰富。

1.1.3调查型思维

调查型思维意味着分析员能理解复杂挑战，并开发出创新解决方案。这种思维方式要求深入理解网络威胁行为者及其战术、技术和程序（TTP），掌握现有的网络威胁情报框架、工具和IT系统。调查型思维要求保持开放态度，判断现有结构、框架或工具是否需要改进，或是否需要针对对手技战术创新开发新的工具和方法。此外，调查型思维有助于分析员培养直觉，从海量信息中识别关键信号。与批判性思维相比，调查型思维更注重将研究与分析相结合，识别并纠正认知和逻辑偏见，同时运用结构化分析技术来克服这些偏见。

1.2保持专业高效

1.2.1沟通能力

具备通过撰写完成的情报（FINTEL）产品、幻灯片演示、电子邮件、Confluence 或 SharePoint 页面、内部工单以及简报等不同形式，有效地向各类受众呈现分析结论、研究成果与方法的能力。采用“关键点前置”（Bottom-Line Up-Front, BLUF）和执行摘要这两种有效方式来展示分析发现。

核心原则之一是识别并适应不同的沟通风格，这包括针对不同受众选择合适的媒介、语言、信息传达方式、节奏以及偏好，这些受众可能从战略层面的高管到高度专业的技术实践者，如检测工程师和安全架构师不等。此外，还包括与媒体及外部联络伙伴合作。可利用现有的网络威胁情报（CTI）框架，以图形化方式描绘组织威胁模型、入侵活动、对手操作流程以及技术性与非技术性对手特征之间的关系。例如：

以网络威胁概况展现组织面临的实际威胁
采用以CTI为中心的杀伤链展现对手的操作手法
通过聚类分析入侵活动来定义入侵集或活动组
使用标准化术语构建对手工作流、剧本和狩猎包
利用Maltego、MISP或其他链接分析工具、工作台或超图，揭示对手工具、基础设施、身份与疑似关联之间的联系

清晰地使用概率性语言表达判断至关重要，这样可以使判断与事实和直接观察脱钩。同样重要的是使用精确语言以确保传达意图，避免引发不必要的恐慌。运用AIMS（受众、意图、信息、故事）等叙事框架有助于分析师传达评估结果。

最后，了解信息共享标准及利益相关群体至关重要。这包括使用Structured Threat Information Expression（STIX）4或JavaScript Object Notation（JSON）等技术标准，通过Trusted Automated eXchange of Intelligence Information（TAXII）5或其他渠道在机器间交换信息，参与行业特定的信息共享团体以及公私合营的信息共享与分析中心和组织（ISACs和ISAOs）。熟悉用于对抗网络行动的网络安全政策和执法机制，如下线、制裁、起诉、突击检查以及公共预警和宣传运动等。

1.2.2团队协作与情绪智能

具备与同僚和领导层有效互动的能力，营造一个接纳多元背景、技能、知识和经验的协作文化，共同识别并解答关键情报问题（KIQs）。借助个体的独特特性，团队能提供同伴辅导和学习机会，填补知识与技能空白，同时建立团结互信的文化。能够与利益相关方合作，获取关于业务运营、信息缺口和决策过程的信息，有助于指导威胁情报工作并提升成效。

情绪智能包括培养良好的判断力和情境意识，理解何时以及如何与同僚、领导或客户互动，并认识到不良行为对组织的影响。情绪智能的四个核心技能分别是自我认知、自我控制、社会认知和关系管理。

1.2.3商业洞察力

理解组织的使命、愿景、目标，以及商业决策如何影响组织的网络风险暴露。例如，潜在的合并与收购或在新地理区域扩大运营范围等决策。战略方向的转变可能导致组织重新评估对商业秘密和知识产权的风险。网络威胁分析师可能需要就风险暴露的变化提供净评估，并重新审视那些具有意图、能力和机会威胁组织的网络团体。组织领导层的公开言论也可能带来网络风险。CTI分析师应能理解并评估威胁情报对业务的可衡量价值。

了解组织结构和内部政治如何影响网络安全合作与决策至关重要。商业洞察力包括理解组织各组成部分使用的词汇、术语和思考框架，使分析师能够以更符合利益相关者关切的方式阐述发现，比如在风险背景下表述威胁、说明实施特定网络安全措施的投资回报率或提出预算需求。理想情况下，敏锐的商业洞察力意味着能在情报生命周期的每个阶段找到与业务的契合点。

1.3技术基础牢固

1.3.1企业IT网络能力

具备理解操作系统原理的能力，涵盖以下方面：

系统架构中的设计决策及其对文件存储、内存管理和网络连接的影响
内部和域连接工作站与服务器上身份、访问权限和授权的管理、分配与维护方式
如何向用户账户和进程分配安全角色和属性
操作系统事件日志中存储的原生信息
用户凭据、远程连接和共享驱动器映射的存储方式
内核在安全策略执行中的作用
系统之间如何通信，以及不同类型通信所使用的协议（如RDP、SSH、SMB、FTP、DNS和HTTP(S)）
向集中式日志平台转发事件的功能

理解围绕企业网络设计的商业决策：

为何企业网络通常选择虚拟环境而非物理工作站和服务器
为何特定操作系统因其满足业务需求而被优先选用
技术进步和云服务的采用如何增强业务功能，以及扩展网络边界对安全的影响

1.3.2技术素养

掌握与网络安全防御措施、过程、技术和岗位相关的核心概念、组件和约定。关键在于了解行业最佳实践和框架，如美国国家标准与技术研究所（NIST）的网络安全框架（CSF），以及防御手段和技术如何至少对应五种网络安全阶段之一（识别、保护、检测、响应和恢复）。

1.关键概念

访问控制
身份和访问管理
多因素认证
需知原则
网络分段
公钥基础设施（PKI）
对称与非对称加密应用场景
基于签名和基于行为的检测（如Yara和Snort）
模糊哈希算法（如SSDeep）
威胁狩猎与事件响应
红队、紫队与主动防御
零信任架构

关键计划、流程与政策文档：

业务连续性计划（BCP）
灾难恢复计划（DRP）
事件响应（IR）计划

系统配置、标准化与账户管理：

IT资产库存管理
配置管理与黄金镜像
特权账户管理

2.安全相关技术

网络与边界设备

防火墙
邮件检查与沙箱
入侵检测与预防系统（IDS/IPS）
Netflow收集器

终端

防病毒软件
终端检测与响应（EDR）
扩展检测与响应（XDR）

集中式日志收集及相关技术

安全信息与事件管理系统（SIEM）
用户实体行为分析（UEBA）
安全编排、自动化与响应（SOAR）

1.3.3组织内网络安全角色与职责

理解网络安全及其相关岗位的角色、职责以及组织内各职能间的相互作用：

安全运营中心（SOC）一级监控台分析师
SOC二级分析师与事件响应者
SOC三级分析师与团队负责人
法证分析师
反向工程师
漏洞分析师
安全架构师
检测工程师
红队
蓝队
紫队
监管、风险管理和合规（GRC）
首席隐私官
IT支持与服务台

对于分析师而言，建立明确的RACI（负责、问责、咨询、告知）矩阵和服务等级协议（SLAs）有助于澄清与跨职能网络安全合作伙伴之间关于同行评审、情报产品开发和请求补充信息的期望与责任。

1.4熟悉网络威胁

1.4.1攻击行动驱动力

具备刻画攻击性网络计划的组织构成、构成岗位及其影响能力发展和达成任务目标的运营决策能力。此类决策点包括将有限资源用于外包网络计划的部分元素，购买运营工具、聘请承包商支持或购买犯罪能力。其他决策点包括根据法律权限强迫个人和公司支持此类计划，以及创建运营前哨公司。

该能力的第二个原则是识别国家、犯罪分子和意识形态动机黑客进行网络行动背后的深层动机、历史背景及其相关意义。这包括国家利用网络行动作为治国工具，以实现地缘政治目标，从进行间谍活动以窃取敌对国双边或多边立场的外交或军事信息，到为谈判做准备，再到网络赋能的影响力行动以及在军事行动前后的破坏性攻击。

深入理解和平时期可接受行动及其在战时的转变至关重要。此外，分析师应能识别那些踩踏可接受使用界限、推动现有规范的行动，如影响世界水资源匮乏地区水净化能力的行动。

同样，该能力的关键原则是能够追溯敌对行动的历史和发展，按网络威胁团体区分。大量历史实例有助于描绘网络行动使用和驱动力的演变，使分析师能够识别趋势线和威胁团体之间的偏离。这也包括根据国家长期目标或对战术情况的响应来预测目标选择，而非仅识别潜在的目标机会。

1.4.2网络威胁熟练度

具备识别并应用适当的CTI（网络威胁情报）术语和框架来跟踪和传达对手能力或活动的能力。该能力还涉及理解网络威胁术语的演变、各种CTI框架发展的理由以及它们帮助CTI社区解决了哪些问题。网络威胁被定义为行动者意图/动机、能力和机会的函数，其中重点放在威胁行动者能力上。

漏洞与利用：

通用漏洞评分系统（CVSS）：
通用漏洞与暴露（CVE）系统：
软件漏洞类别：
并非所有漏洞都可被利用：
零日和N日漏洞：
利用开发与漏洞武器化：
利用与感染链：
补丁管理生命周期：
利用采购灰色市场：
漏洞赏金计划的作用：

恶意软件：

解释恶意软件执行链，从第一阶段投放器到启动器再到后渗透工具：
解释对手如何通过命令与控制（C2）服务器与恶意软件交互：
解释恶意软件如何与C2服务器通信：
解释使用脚本与编译恶意软件的实用性差异：
识别模块化恶意软件或构建器使用：
恶意软件即服务市场：

基础设施：

恶意软件和利用交付所用基础设施与C2和数据泄露所用基础设施的差异：
托管服务的选择与偏好：
托管提供商提供的隐私保护或基于欧盟隐私指令的隐私保护：
动态DNS：

归属、入侵聚类与命名约定：

入侵活动的特征：
创建入侵集簇以表征活动类型：
识别并区分入侵活动的独特、新颖属性以及作为归属与聚类支持的锚定功能的常见属性：
供应商对网络团体入侵活动的命名约定，以及为什么供应商通常不借用彼此已有的名称：
如何映射各种供应商名称以识别相似网络威胁团体的威胁活动：

CTI框架：

FAIR（信息风险因素分析）或VERIS（事件记录与共享词汇）用于威胁建模：
洛克希德·马丁网络杀伤链、Mandiant针对性攻击生命周期或统一网络杀伤链，以视觉方式描绘对手行动的各个离散阶段：
钻石模型用于入侵分析的聚类、跟踪与分组：
MITRE ATT&CK框架，包含对手操作TTPs：
MITRE ATT&CK Navigator，用于创建时间限定的对手TTPs剧本：

1.4.3威胁行动者与TTPs

具备辨识跨网络威胁团体的供应商命名约定、其国家或犯罪附属关系，以及理解某些团体在网络行动中采用的战术、技术和程序（TTPs）的能力。该能力的关键原则是，分析师应能识别网络杀伤链上的关键指标，以确定对手操作工作流和偏好。这些偏好也考虑了运营基础设施的托管服务选择和网络匿名化技术。

分析师应能列举初始访问向量的范围，并识别各种威胁团体表现出的操作偏好，从鱼叉式网络钓鱼到使用被黑网站进行载荷交付，再到在目标物理位置附近进行近距离访问操作。同样，分析师应理解对手常用的内部侦察命令，用于进行系统、网络和文件发现。这包括理解横向移动技术，如使用代理链、修改IP表、端口或反向转发，以及每种方法的优缺点。

分析师应能解释为什么威胁团体通常只在受害者网络中保持少数立足点，几乎完全依赖受害者网络中的单一系统进行数据暂存，并在利用、信标发送、交互操作和数据泄露中使用不同的C2服务器。同样，分析师应熟悉为什么网络操作员更倾向于使用恶意软件而非直接与远程shell交互的原因。最后，分析师应能解释为什么和如何威胁团体采用网络混淆技术，如协议隧道、主机反取证技术和恶意软件内部的主机混淆。

参考链接：

https://www.mandiant.com/sites/default/files/2022-05/cti-analyst-core-competencies-framework-v1.pdf